Jump to content

Werden Gruppenrichtlinien gecached??


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen!

 

Ich habe ein Problem mit meinen Gruppenrichtlinien. Ich habe einer OU eine Gruppenrichtlinie zugewiesen. Vom Prinzip her, wendet er sie auch an. Das Problem ist nur, dass völlig veraltete Einstellungen die Gruppenrichtline angewendet werden.

 

Zum Testen, habe ich mal die Gruppenrichtlinie von der OU entfernt. Ging alles ohne Probleme, doch wenn ich sie wieder zugewiesen habe, hat er wieder alle alten Einstellungen zugewiesen.

 

Hat jemand einen Tipp?

 

Gruß

Gunnar

Link to comment

Gecacht werden Gruppenrichtlinien eigentlich nicht, und irgendwie doch. Licht ins Dunkel: Der Client ruft Gruppenrichtlinien beim DC ab

a) wenn er gestartet wird (Computereinstellungen)

b) wenn sich ein User anmeldet (Benutzereinstellungen)

c) in regelmäßigen Abständen (Comp+Benuter-Einst.) alle 90 min +- 30 min

d) bei manueller Triggerung (secedit /refreshpolicy)

 

Weiters ist es so, dass der DC bzw alle DCs eine Änderung der GPO erkannt haben müssen, bevor sie die aktuellen Einstellungen an einen Client weitergeben können. Standardmässig merkt das der DC erst nach spätestens 5 Minuten oder bei manueller Triggerung. Sollten mehrere Dcs im Netz sein, muss dann auch noch eine Replikation der geänderten Einstellungen erfolgen. Solange könnte ein DC noch die "veralteten", aber für ihn ja noch aktuellen, Einstellungen an einen Client herausgeben.

Für Testumgebungen, in denen man meistens sehr schnell agiert, ist es daher wichtig bei Änderungen der GPOs auf dem DC secedit /refreshpolicy anzuwenden, falls man mehr als einen DC hat, sofort anschließend eine Replikation auszulösen, und dann erst auf dem Client secedit /refreshpolicy auszuführen.

 

Man beachte weiterhin, dass ein paar Richtlinien (Comp. wie User) trotz secedit einen Restart des Clients benötigen, um aktiv zu werden.

 

 

grizzly999

Link to comment

Hallo grizzly,

 

Danke erstmal für deine Antwort. Nun stelle ich mir aber die Frage, muss ein User / OU der eine Gruppenrichtlinien zugewiesen /weggenommen bekommt nicht auch ersteinmal durch die Replikation auf die anderen DC's laufen??

 

Als Beispiel, nehme ich mal folgenden Fall:

Ich habe eine OU erstellt und dieser eine OU zugewiesen. In dieser OU, habe ich nun User erstellt. Beim anmelden, sieht alles genau so aus, wie ich es in der Gruppenrichtlinie eingestellt habe. Nun habe ich die Gruppenrichtlinie verändert. Selbst nach 2 Tagen und diversen Neustarts galten für die User immer noch die selben Vorgaben, wie ich sie urspünglich in der Gruppenrichtline eingestellt hatte. Nun habe ich einfach mal die Gruppenrichtlinie von der OU entfernt, was nach ca. 5 min auch an den Clients zu sehen war. Als nun jetzt der OU nun die Gruppenrichtlinie wieder zugewiesen habe, hatte ich wieder die Vorgaben, wie ich sie ursprünglich in der Gruppenrichtlinie definiert hatte.

 

Gruß

Gunnar

Link to comment

Das Phänomen klingt sehr seltsam, und ich hatte das noch nie erlebt. Erste Frage: sind mehr als ein DC vorhanden? Sind mehrere Standorte vorhanden?

 

Dann solltest du nach Gruppenrichtlinienkonflikten forschen, also sind andere Richtlinien definiert, lokal? am Standort? Domäne? drüberliegende OUs?, die mit den gemachten Einstellungen kollidieren?

 

Ist DNS sauber (alle DCs korrekt eingetragen, alle Clients haben wirklich einen DNS eingetragen), wenn mehrere DNS, alle Up-to-date?

 

gpresult.exe aus dem ResourceKit kann ebenfalls wertvolle Dienste bei der Suche nach Fehlern helfen. Bei XP-Clients ist das Tool schon dabei.

 

grizzly999

Link to comment

ja, das finde ich auch....

 

Also, es gibt 2 DC's und einen Standort. Der DNS ist sauber, und alles ist up-to-date. Die Richtlinien sind in der Domäne definiert, wobei für darüberliegende OU's keine Gruppenrichtlinien definiert sind.

 

Danke für den Tip mit gpresult, ich werde das gleich nachher mal versuchen.

Link to comment

so, ich habe das Problem (vorerst) behoben.

 

Das Problem, war die Replikation zwischen den beiden DC's. Wenn die Gruppenrichtlinien vom 1. DC gezogen wurden wars richtig und lief ohne Probleme. Doch sobald sie vom 2. DC gezogen wurden hatte ich das Problem mit den alten Richtlinien.

 

Ich habe versucht die DC's mit "secedit /refreshpolicy" zum replizieren zu bekommen, doch die wollten nicht so wie ich wollte. Erst nach dem neustart des 2. DC wurden die Gruppenrichtlinien ordnungsgemäß (sowie in der aktuellen Form) an die Clients verteilt.

 

Was ich jedoch komisch finde, ich konnte auf beiden DC's die Gruppenrichtlinien bearbeiten, und auf beiden waren sie jeweils in aktueller form.

 

Ich habe jedoch auch keinen Fehler im Ereignissprotokoll gefunden. Wieso vereilte der 2. DC keine aktuellen Gruppenrichtlinien?!?

 

Gruß

Gunnar

Link to comment

Hi,

 

vielleicht liegt dein Problem daran, dass das Verwalten der GPOs immer nur auf einem DC erfolgt, unabhängig davon, an welchem Rechner /DC man jeweils sitzt / arbeitet.

 

Standardmässig ist das der DC der den PDC-Emulator macht, und das ist standardmässig der 1. DC der Domäne.

 

Also die GPOs werden immer auf diesem DC bearbeitet und dann auf die anderen DCs repliziert (es sei denn man stellt das um).

 

Nachschauen kann man das im GPO-Snap-In der MMC, DC-Optionen im Menü Ansicht.

 

Das erklärt Dein Phänomen: wo auch immer Du änderst, Du bearbeitest die GPOs immer auf dem 1. DC.

 

Grüsse,

 

Koslowski

Link to comment

Ich da glatt noch mal eine Frage dazu. Da ich das Problem in der Replikation zwischen den beiden DC's sehe, frage ich mich, ob es möglich ist, dass ich die Policy's auf dem 2. DC im Ordner c:\WINNT\sysvol\sysvol\"domain.local"\policies\ lösche, und diese dann automatisch vom 1. DC repliziert werden.

 

Kann man das machen, ohne das ich mir gleich den ganzen 2. DC zerschieße??

Link to comment

Gehen tut das schon, die Policy am DC2 im sysvol löschen. Diese Änderung würde dann auf den DC1 repliziert werden.

Das GPC sollte man dann aber auch löschen. Daher empfehle ich, GPOs immer über die dafür vorgesehene Konsole zu löschen, und wenn man sie wirklich ganz weg habe will, bei Nachfrage "die Verknüpfung und die Dateien" zu löschen.

 

grizzly999

Link to comment

die Frage stellt sich mir, da ich auf meinem 1. DC "nur" 6 Policys sehe, dass sehe ich auch, wenn ich die Gruppenrichtlinien im AD suche. Auf dem 2. DC hingegen sind im dem Verzeichniss 9 Policys.

 

Nun ist meine Frage, wie bekomme ich die beiden Verzeichnisse abgeglichen?? Soll ich die Dateien händich auf dem 2. DC löschen und vom 1. DC rüberkopieren, oder lösche ich die Dateien, und er zieht sich die automatisch vom 1. DC?!?

 

Gruß

Gunnar

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...